Astra linux блокировка флешек

Обновлено: 06.07.2024

Как защитить USB-порты через BIOS, и мы также покажем вам, как использовать, устанавить USBguard в Linux.

Одним из компонентов аппаратного обеспечения, которые необходимы при выполнении нескольких задач в любой операционной системе, являются порты USB, поскольку в них мы можем подключить сотни устройств таки,х как USB-накопители, цифровые камеры, мобильные устройства и многие другие.

Как защитить BIOS в Linux

Первым шагом, который мы можем предпринять в качестве пользователей или системных администраторов, является защита запуска системы или загрузка с помощью пароля, таким образом, если машина может оставаться в бездействии в течение определенного периода времени, мы предотвратим несанкционированное использование доступ к информации.

Если мы хотим установить пароль в начале операционной системы, мы должны перезапустить или запустить, если компьютер выключен, и нажмите клавиши «Esc», «F2», «Delete» или тот, который указан производителя для доступа к BIOS. Как только мы перейдем на вкладку «Security» и перейдем к строке «Password on Boot»:

Чтобы эта опция была активной, мы должны определить пароль в строке «Set user password».

Нажатие «Enter» в этой строке и система отобразит следующий параметр, в котором мы выберем опцию «Enabled».

После того, как пароль включен, нажмите клавишу «F10», чтобы сохранить изменения.

Таким образом, когда система запускается, мы увидим следующее:

Как использовать и устанавить USBGuard на Linux

На данный момент -это одно из лучших приложений для защиты среды Linux на уровне USB-портов, поскольку USBGuard был разработан для защиты компьютера от опасных USB-устройств, реализуя политику белых списков и функции черного списка на основе атрибутов USB-порта.

Эти вредоносные USB-устройства также известны как BadUSB.

Для установки USBGuard в Linux, как мы упоминали, мы будем использовать Ubuntu 17.04, и для этого мы выполним следующее:

Чтобы запустить процесс авторизации USB-устройства через USBGuard, мы выполним следующие команды:

После открытия файла мы увидим следующее:

В этих строках будут добавлены и разрешены все устройства, которые в настоящее время подключены.

Мы можем исключить или закомментировать строки устройств, которые мы не хотим разрешать.

Чтобы авторизовать устройство, мы выполним следующие команды:

Как проверить USBGuard на Linux

В то время, как в системе будет обнаружено любое USB-устройство, которое мы подключаем к компьютеры, оно не будет работать.

Чтобы перечислить подключенные USB-устройства, мы выполним следующее:

Чтобы добавить это устройство в список разрешенных устройств, мы перейдем к редактированию следующего файла:

Там мы должны добавить идентификатор USB-устройства для авторизации в последней части файла:

Сохраните изменения, используя клавиши Ctrl + O и выйдите из редактора, используя клавиши Ctrl + X.

Мы должны перезапустить службу USBGuard, запустив:

Теперь просто отключите и снова подключите USB, и мы можем получить доступ к нему из проводника, как обычно.

Таким образом, Linux позволяет выполнять устройства, которые соответствуют добавленному идентификатору, иначе они будут отклонены.

При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.

Для запрета монтирования всех USB-носителей, кроме разрешенных, потребуется вывести пользователей из групп floppy и fuse.

Группа fuse так же используется для подключения samba ресурсов. Если предполагается использование samba ресурсов, используйте другой способ запрета монтирования, например: для запрета монтирования USB-носителей с файловой системой ntfs необходимо снять suid бит с /bin/ntfs-3g.

В более поздних версиях Astra Linux группа fuse не используется. Порядок работы с конфиденциальной информацией на USB-носителях для этих версий см. по ссылке

Мандатное разграничение доступа возможно только на файловых системах, поддерживающих расширенные атрибуты. Для USB-носителей это файловые системы Ext2/Ext3/Ext4.

Для создания правила и разграничения доступа к носителю запустить fly-admin-smc (Политика безопасности), открыть закладку "Доступ к устройствам", ЛКМ "Устройства и Правила" и ЛКМ "+" ("Создать" в верхней панели").

После появления окна подключения и информации подключить заранее созданный носитель (см. ниже). После определения устройства нажать на название носителя (пример на снимке 1)

В свойствах устройства выставить флаг в чек-бокс "Включено", ввести имя носителя в поле "Наименование" (снимок 2)

Перейти в закладку "Общие", выставить флаги (разграничить доступ) в чек-боксах владельца, группы и остальных, выставить в выпадающих меню пользователя и группу (снимок 3)

Нажать "Применить" (зеленая галочка на панели инструментов)

Для того, чтобы изменения ограничений мандатного доступа вступили в силу, следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.

Дискреционная настройка носителя

Для корректного монтирования EXT-раздела в ОС Astra Linux необходимо изменить владельца носителя, права доступа и ACL.

Для этого потребуется смонтировать носитель и поменять владельца. В нашем случае пользователя будут звать tester.

Создаем временную директорию:

Монтируем раздел носителя:

Меняем владельца (пользователь.группа):

Назначаем права доступа:

Создание правил для многоуровневой флешки

Создать несколько Ext2 разделов на флешке

Задать метки разделам(Label), например: ns, dsp, sec, ss.

Зарегистрировать правило для каждого раздела, используя ID_SERIAL_SHORT и ID_FS_UUID, установить мандатный уровень, дискретные права пользователя и группы.

После регистрации правил установить дискретные права на корень каждого раздела, как указано выше.

1. Если действие не add, то выходим (выходим путем отсылки интерпретатора командой GOTO к метке, расположенной в самом конце файла)
2. Если подключается устройство не usb, то выходим
3. Если подключенное usb устройство не типа disk, то выходим. Это важный нюанс, т.к. без этой опции отключается вся usb переферия - клавиатуры, мышки и т.д. Во всяком случае, на тестовой реальной машине было так. А вот в VirtualBox этот эффект не проявлялся.
4. Собственно проверка на серийник. Как его узнать, напишу ниже. Если параметр ID_SERIAL_SHORT у usb устройства равен указанному, то выходим - эту флешку вставлять в машину можно
5. Что же делать, если правило всё еще выполняется? Учитывая все проверки выше, это означает, что к машине подключили usb накопитель, серийник которого не прошел проверку. А это значит, что его нужно отключить. Делается это путем записывания 1 в файл sys/путь к usb устройству/device/delete. После этого флешка отключается. На тестах это выглядело как отключение питания от флешки - на ней гас светодиодный индикатор работы.
6. Отметка, куда будет перемещен интерпретатор, если ему передать это командой GOTO

Как получить серийный номер usb накопителя?

Для этого используется команда udevadm info с параметрами -q (запрос какой информации выводить) и -n (имя устройства). В результате команда должна получить вид:

-q all выведет всю информацию об устройстве. В качестве альтернативы вместо all можно использовать property.
-n /dev/sdb задает имя устройства.
Будьте с этим внимательны! У вас вместо sdb может быть sdd, sdc или что-то еще! Проверяйте, какому именно устройству присвоено sd*. Посмотреть это можно командой fdisk -l
Далее в выводе команды вас интересует значение параметра ID_SERIAL_SHORT. Это и есть серийник флешки. Его и надо подставлять в правило. Само собой, разрешенных флешек может быть несколько, просто копируйте строку, где проверяется серийник, и подставляйте в неё нужное значение.

Да, в выводе команды udevadm info присутствует параметр ID_SERIAL, но у меня по нему флеш накопители система фильтровать отказалась.

Алгоритм создания белого списка USB-флеш-накопителей состоит из 2 этапов:

1. Запрет монтирования всех USB-флеш-накопителей
2. Разрешение монтирования некоторых устройств

1. Разрешение монтирования некоторых устройств
2. Запрет монтирования всех иных USB-флеш-накопителей

Первый этап – запрет автомонтирования

Вариант с параметром UDISKS_IGNORE

Для отключения автомонтирования USB-флеш-накопителей нужно будет создать правило для udev.

со следующим содержанием:

Для того, чтобы новое правило вступило в силу, нужно ввести команду обновления правил udev

После этого, можете проверить и подключить USB-флеш-накопитель, как результат, он не откроется.

Вариант с изменением параметра authorized

Для отключения автомонтирования USB-флеш-накопителей нужно будет создать правило для udev и исполняемый скрипт запрета монтирования USB-флеш-накопителей.

Измените права на скрипт:

Параметр authorized отвечает за монтирование USB-флеш-накопителя в момент подключения к ПК.

со следующим содержанием:

Для того, чтобы новое правило вступило в силу, нужно ввести команду обновления правил udev

После этого, можете проверить и подключить USB-флеш-накопитель, как результат, он не откроется.

Примеры выбора устройств по определенным свойствам

Для создания белого списка USB-флеш-накопителей, нужно знать атрибуты накопителя.

1) Определяем нашу флешку:

2) Смотрим атрибуты:

Вариант составления белого списка по первому варианту

в выводе мы увидим серийный номер, модель и значение максимального потребления тока:

Запишем эти значения в файл правил в качестве разрешающих

Для того чтобы новое правило вступило в силу, нужно ввести команду обновления правил udev

Полный список атрибутов, по которым можно осуществить выборку, находится в выводе команды:

Вариант составления списка по второму варианту

Выборка по серийному номеру устройства

Выборка по названию модели. Точное название смотрите в выводе команды

Для удобства, когда полный список параметров устройства известен, можно производить отбор по конкретному параметру:

Логика данного правила отлична от первого варианта. В 1 варианте происходило блокирование сразу всех usb флеш-накопителей и лишь потом разграничение на белый список шло. В данном варианте сначала происходит разграничение на белый список. Только потом добавление устройства в черный список. Такое действие связано с тем, что параметр authorized появляется в момент монтирования и если его изменить в 0, то далее он становится недоступен. Соответственно, сначала требуется проверить подходит флешка под белый список и если да, то разрешить ей монтирование.

Для того, чтобы новое правило вступило в силу, нужно ввести команду обновления правил udev

Полный список атрибутов, по которым можно осуществить выборку, находится в выводе команды:

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

Читайте также:

  
• Диагностика компьютера при запуске windows 10
  
• Оборудование и звук в windows 10 где находится
  
• Какой sql server поставить на windows 10
  
• Как установить boot repair на ubuntu
  
• Понизить версию rdp windows 10